← Retour au blog
Recherche 18 min de lecture

Conformité NIS2 : Le guide complet pour les entreprises européennes

La loi de transposition NIS2 en Allemagne est entrée en vigueur le 5 décembre 2025. Les échéances d'enregistrement au BSI arrivent en mars 2026. Ce guide couvre tout ce que les RSSI, directeurs informatiques et responsables conformité doivent savoir : qui doit se conformer, quelles sont les obligations, les sanctions et comment construire une feuille de route de conformité pratique.

160K+
Entités UE concernées
10 M€
Amende maximale
18
Secteurs couverts
24h
Notification d'incident

Qu'est-ce que la directive NIS2 ?

ℹ️ Contexte

La directive NIS2 (Directive (UE) 2022/2555) remplace la directive NIS originale de 2016, largement considérée comme insuffisante en termes de périmètre et d'application. Elle élargit considérablement la couverture d'environ 10 000 entités sous NIS1 à plus de 160 000 entités dans l'ensemble de l'UE.

NIS2 a été conçue pour corriger trois faiblesses fondamentales : une transposition incohérente entre les États membres, un périmètre limité ne couvrant que des secteurs restreints, et une application faible avec des sanctions trop basses pour impulser le changement.

En Allemagne, le NIS2UmsuCG (loi de mise en œuvre de NIS2 et de renforcement de la cybersécurité) est entré en vigueur le 5 décembre 2025. Le BSI est l'autorité de supervision désignée, et les échéances d'enregistrement commencent le 6 mars 2026.


Qui doit se conformer à NIS2 ?

NIS2 a abandonné l'approche par désignation au profit d'un mécanisme de seuil de taille. Les organisations sont automatiquement dans le périmètre si elles remplissent les critères sectoriels et de taille.

Annexe I — Secteurs de haute criticité (11 secteurs)

SecteurExemples
ÉnergieÉlectricité, pétrole, gaz, hydrogène, chauffage urbain
TransportsAérien, ferroviaire, maritime, routier
BanqueÉtablissements de crédit
Infrastructure des marchés financiersPlateformes de négociation, contreparties centrales
SantéHôpitaux, laboratoires, pharma, dispositifs médicaux
Eau potableApprovisionnement et distribution
Eaux uséesCollecte, élimination, traitement
Infrastructure numériqueIXP, DNS, registres TLD, cloud, centres de données, CDN
Gestion des services TIC (B2B)MSP, MSSP
Administration publiqueEntités de l'administration centrale
EspaceOpérateurs d'infrastructures au sol

Annexe II — Autres secteurs critiques (7 secteurs)

SecteurExemples
Services postaux et de courrierOpérateurs de services postaux
Gestion des déchetsCollecte, transport, traitement
Fabrication chimiqueProduction, distribution
Production alimentaireTransformation, distribution (grande échelle)
Industrie manufacturièreDispositifs médicaux, électronique, machines, véhicules
Fournisseurs numériquesPlaces de marché, moteurs de recherche, réseaux sociaux
RechercheOrganismes de recherche à impact significatif

Seuils de taille

⚠️ Couverture indépendante de la taille

Certaines entités sont dans le périmètre quelle que soit leur taille : prestataires de services de confiance qualifiés, registres TLD, fournisseurs DNS, opérateurs de télécommunications, administration publique et fournisseurs uniques de services essentiels.


Entités essentielles vs importantes

AspectEntités essentiellesEntités importantes
SupervisionProactive (ex-ante)Réactive (ex-post)
Amende maximale10 M€ ou 2 % du CA mondial7 M€ ou 1,4 % du CA mondial
AuditsRéguliers, obligatoiresSur preuve de non-conformité
Exigences de sécuritéIdentiquesIdentiques

Point clé

Les obligations de sécurité sont les mêmes pour les deux niveaux. La différence réside uniquement dans l'intensité de la supervision et les plafonds de sanctions.


Exigences clés de NIS2 (Article 21)

10 obligations obligatoires

Calendrier de notification d'incidents

DélaiExigenceObjectif
24 heuresAlerte précoce au CSIRTSignaler qu'un incident significatif s'est produit
72 heuresNotification d'incident avec évaluationGravité, impact, indicateurs de compromission
1 moisRapport finalAnalyse des causes, impact, mesures d'atténuation

⚠️ Responsabilité personnelle de la direction

L'article 20 exige que les organes de direction approuvent les mesures de cybersécurité, suivent une formation et assument une responsabilité personnelle. En vertu du NIS2UmsuCG allemand, les dirigeants s'exposent à des amendes personnelles et à une suspension temporaire de leurs fonctions de direction. Cette responsabilité ne peut pas être entièrement déléguée.


Sanctions et application NIS2

10 M€
Amende entité essentielle
2 %
du CA mondial
7 M€
Amende entité importante
1,4 %
du CA mondial

Au-delà des amendes, les autorités peuvent émettre des injonctions contraignantes, ordonner la cessation d'activités, exiger la divulgation publique de la non-conformité, suspendre des certifications et — pour les entités essentielles — interdire temporairement les fonctions de direction aux personnes responsables.

⚠️ Des sanctions de l'ampleur du RGPD pour la cybersécurité

Pour une entreprise avec 1 milliard d'euros de chiffre d'affaires, l'amende maximale pour une entité essentielle est de 20 millions d'euros. Les polices d'assurance D&O doivent être réexaminées pour les lacunes de couverture — la responsabilité personnelle ne peut pas être entièrement assurée.


Calendrier NIS2 : Dates critiques

DateJalon
27 déc. 2022NIS2 publiée au Journal officiel de l'UE
16 janv. 2023NIS2 entre en vigueur
17 oct. 2024Date limite de transposition pour tous les États membres
5 déc. 2025Allemagne : NIS2UmsuCG entre en vigueur
6 mars 2026Allemagne : échéance d'enregistrement au BSI
17 oct. 2027La Commission européenne examine le fonctionnement de NIS2

Échéance BSI approchante

L'enregistrement de mars 2026 arrive dans quelques semaines. Identifiez les écarts de conformité avant de vous enregistrer.

Lancer un scan NIS2 gratuit →

Conformité NIS2 étape par étape

Feuille de route en 10 étapes

ℹ️ ISO 27001 ≠ Conformité NIS2

ISO 27001 fournit une base solide mais NIS2 ajoute des exigences spécifiques : délais obligatoires de notification d'incidents (24h/72h/1 mois), responsabilité personnelle de la direction et obligations détaillées de sécurité de la chaîne d'approvisionnement. La certification seule ne garantit pas la conformité.


Comment KENSAI automatise la conformité NIS2

Découverte automatisée de la surface d'attaque

KENSAI scanne en continu votre surface d'attaque externe — domaines, sous-domaines, IP, services cloud, API exposées — et cartographie les actifs par rapport à votre périmètre NIS2. Inventaire en temps réel de ce que vous devez protéger.

Cartographie des vulnérabilités basée sur les CVE

Avec plus de 332 000 CVE, KENSAI identifie les vulnérabilités connues et les corrèle avec les exigences NIS2. Chaque résultat est priorisé par score CVSS, pertinence NIS2 et urgence de remédiation basée sur la threat intelligence.

Analyse des écarts de conformité NIS2

L'IA cartographie votre posture de sécurité par rapport à toutes les exigences de l'article 21 : score de conformité, rapport d'écarts, remédiation priorisée et documentation de preuves adaptée aux régulateurs et auditeurs.

Visibilité sur les risques de la chaîne d'approvisionnement

Scannez l'infrastructure externe des fournisseurs pour identifier les services exposés, vulnérabilités, problèmes de certificats, erreurs de configuration DNS et historique de violations de données — la visibilité sur la chaîne d'approvisionnement que NIS2 exige.

Tarification pour la conformité NIS2

Starter : 990 €/mois — ETI entrant dans le périmètre NIS2. Professional : 1 490 €/mois — Infrastructure complexe et chaînes d'approvisionnement. Enterprise : 2 490 €/mois — Automatisation complète de la conformité avec support dédié.


FAQ : Conformité NIS2

Qu'est-ce que la directive NIS2 ?

La réglementation européenne actualisée en matière de cybersécurité (Directive (UE) 2022/2555) remplaçant la directive NIS originale. Elle établit des mesures obligatoires de gestion des risques, de notification d'incidents et de sécurité de la chaîne d'approvisionnement dans 18 secteurs critiques.

Qui doit se conformer ?

Les organisations dans 18 secteurs désignés atteignant les seuils d'entreprise moyenne (50+ employés ou 10 M€+ de CA) ou grande entreprise (250+ employés ou 50 M€+ de CA). Certaines entités comme les fournisseurs DNS et les télécoms sont couvertes quelle que soit leur taille.

Quelles sont les sanctions ?

Entités essentielles : jusqu'à 10 M€ ou 2 % du CA mondial. Entités importantes : jusqu'à 7 M€ ou 1,4 % du CA mondial. Plus des injonctions contraignantes, la divulgation publique, la suspension de certifications et la responsabilité personnelle de la direction.

Quelles sont les exigences de notification d'incidents ?

Trois étapes : alerte précoce sous 24 heures, notification d'incident sous 72 heures, rapport final sous 1 mois.

Comment NIS2 affecte-t-elle les membres du conseil d'administration ?

L'article 20 exige que les conseils approuvent les mesures de cybersécurité, suivent une formation et assument une responsabilité personnelle. En vertu de la loi allemande, les dirigeants s'exposent à des amendes personnelles et à une suspension temporaire.

NIS2 s'applique-t-elle aux petites entreprises ?

En général non (moins de 50 employés / 10 M€ de CA sont exclus). Des exceptions existent pour les prestataires de services de confiance, les registres TLD, les fournisseurs DNS et les télécoms.

Quel est le lien entre NIS2 et ISO 27001 ?

Chevauchement significatif, mais NIS2 ajoute des délais obligatoires de notification d'incidents, la responsabilité personnelle de la direction et des exigences détaillées sur la chaîne d'approvisionnement. La certification ISO 27001 seule ne garantit pas la conformité NIS2.

Comment NIS2 interagit-elle avec le RGPD et DORA ?

NIS2 se concentre sur la sécurité des réseaux/systèmes ; le RGPD sur la protection des données personnelles — les deux peuvent s'appliquer à un cyberincident. DORA prévaut pour les entités financières selon le principe de lex specialis.


Ce guide est fourni à titre informatif et ne constitue pas un conseil juridique. Consultez des professionnels qualifiés en droit et en cybersécurité pour vos obligations NIS2 spécifiques.

Commencez votre parcours de conformité NIS2

Visualisez vos écarts de conformité en quelques minutes. Scan alimenté par l'IA avec cartographie NIS2, RGPD et DORA intégrée.

Lancer un scan gratuit →

La sécurité n'est pas optionnelle.

🗡️ L'équipe KENSAI

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home